Décidément, le web3 est encore loin du monde idéal que l’on nous promet. Les chercheurs en sécurité de Check Point viennent de révéler une faille incroyablement facile à exploiter sur Rarible, une populaire place de marché NFT. Ils ont montré que l’on pouvait intégrer du code JavaScript dans une image SVG pour créer un NFT malveillant. Il suffit ensuite que le pirate envoie à la victime un lien vers ce NFT pour que ce code soit exécuté.
Dans leur démonstration, les chercheurs exécutent une transaction de type « setApprovalForAll », qui confère au pirate un droit de contrôle sur les NFT de la victime. Certes, celle-ci doit quand même valider manuellement cette opération, mais l’écran présenté ne permet pas vraiment de saisir le risque associé. Une fois cette opération validée, le pirate peut procéder au transfert des NFT, en toute tranquillité.
A découvrir aussi en vidéo :
Cette attaque n’a rien de théorique. Elle a été utilisée pour arnaquer Jay Chou, un chanteur et acteur taïwanais. Après avoir cliqué sur un lien de ce type, il a été dépossédé d’un NFT particulièrement prisé, à savoir un « Bored Ape ». Par la suite, le pirate a vendu cette œuvre pour 500 000 dollars. La bonne nouvelle, c’est que la faille qui permet de réaliser ce genre d’attaque a depuis été colmatée.
Rarible n’est pas la première place de marché à être confronté à ces problèmes de sécurité. En février dernier, des centaines de NFT ont changé inopinément de propriétaire, en raison d’une faille protocolaire. En octobre 2021, les chercheurs de Check Point avaient par ailleurs observé des attaques de phishing sur les utilisateurs d’OpenSea, dans le but de voler des NFT. Une arnaque qui a permis aux pirates d’amasser des millions de dollars. C’est une véritable jungle.
Source: Check Point